Interne Regeln können nicht nach bestimmten Texten durchsucht werden. Die Suche und Überprüfung erfolgt durch das Plugin.
Prüft eine Nachricht mit der Bayes-Methode auf deren Spam-Wahrscheinlichkeit.
Der Score hängt bei dieser Regel von der Rückgabe der Bayes-Berechnung ab und ist hier nicht unmittelbar von Bedeutung. Es wird aber empfohlen, den Score auf 0 zu setzen.
Die Regel sollte aus einer leeren Zeichenfolge ("") bestehen.
Optionen:
- C "Clearly"
- Gibt als Score den Wert 0 oder 100 zurück. Ist die errechnete Spamwahrscheinlichkeit kleiner oder gleich 50, wird 0 zurückgegeben, ansonsten 100.
- P "Percent"
- Gibt den Score als Prozent aus, wobei "0" Ham und "100" Spam bedeutet. Ansonsten wird für Ham der Score -100 und für Spam 100 verwendet.
- D "Double"
- Gibt an, dass der Score verdoppelt werden soll (sowohl bei positiven, als auch bei negativen Werten). Diese Option kann nicht gemeinsam mit der Option "P" angegeben werden.
Beispiel:
BayesScore 0 IP "" [BAYES-FILTER]
Überprüft einen HTML-Part, ob eine bestimmte Anzahl von Zeichen zwischen zwei HTML-Tags steht. Spammer teilen Texte oft mit ungültigen Tags auf, damit diese von Antispam-Programmen nicht erkannt werden. Dies ist für Regula grundsätzlich kein Problem, jedoch ein relativ sicheres Zeichen für Spam. Bei der Berechnung der Zeichen werden Leerzeichen und Zeilenumbrüche am Beginn des betreffenden Textes nicht berücksichtigt.
Die Regel ist in drei Werte unterteilt, die mit einem Pipe-Zeichen (|) voneinander getrennt sein müssen. Der erste Wert bestimmt die Mindestzahl der Buchstaben, der zweite Wert die maximale Anzahl der Buchstaben und der dritte Wert die Anzahl der Fundstellen, die für eine Erfüllung der Regel erreicht werden muss.
Beispiel:
BetwBrackCnt 40 I "1|4|5" [BetwBrackCnt_Test]Damit diese Beispielregel erfüllt ist, müssen mindestens 5 Texte mit einer Länge von 1 bis 4 Zeichen zwischen HTML-Tags stehen.
Prüft, ob im Header Platzhalter von BulkMailer-Formularen enthalten sind. Die Regel bleibt unbeachtet und sollte nur aus zwei Anführungszeichen bestehen.
Optionen:
- B "Body"
- Wenn im Header keine Übereinstimmung gefunden wurde, wird auch der Nachrichtentext durchsucht.
Beispiel:
BulkForm 100 IH "" [Nur im Header nach Platzhalter suchen] BulkForm 100 IHB "" [Im Header und im Body nach Platzhalter suchen]
Prüft, ob die Abweichung der Zeit im Header "Date:" zur ersten lesbaren Zeit in den Received-Zeilen kleiner oder größer ist als ein bestimmter Wert. Die Berechnung erfolgt in ganzen Stunden. Die Datumsangaben werden dazu in die UTC-Zeit konvertiert.
Als Regel muss die Anzahl der Stunden angegeben werden, die zwischen dem Absenden und dem Eingang der Mail auf dem letzten Mailserver (eigener Mailserver), liegen darf. Es darf nur eine positive Zahl angegeben werden. Fehlt die Angabe, werden 3 Stunden angenommen.
Optionen: Keine
Beispiel:
DateDeviate 50 I "" [Zustellung dauerte mehr als 3 Stunden] DateDeviate 90 I "5" [Zustellung dauerte mehr als 5 Stunden]
Prüft, ob das Datum im "Date:"-Header korrekt, oder zumindest auslesbar formatiert ist.
Die Regel sollte aus einer leeren Zeichenfolge ("") bestehen.
Optionen: Keine
Beispiel:
DateInvalid 80 I "" [Date-Header hat falsches Format]
Gibt einen vordefinierten Header, oder einen Nachrichtenteil in die Protokolldatei aus. Damit kann geprüft werden, welche Daten vom Regula-Plugin ausgelesen wurden.
Die Regel gibt jene Headerbezeichnung an, die ausgegeben werden soll.
Beispiel:
DebugOut 0 I "ContentType" [Test-Ausgabe]Im Protokoll wird folgendes ausgegeben:
DEBUG OUTPUT "Test-Ausgabe": BEGIN>multipart/mixed<END.Optionen: Keine
Führt eine DNSBL-Anfrage beim angegebenen DNSBL-Server durch.
Als Regel wird der Name des DNSBL-Servers, z.B. "sbl-xbl.spamhaus.org" angegeben. Das Standard-Timeout beträgt 250 Millisekunden (1/4 Sekunde). Um das Timeout zu verändern kann nach dem Servernamen, mit einem Leerzeichen getrennt, das neue Timeout in Millisekunden festgelegt werden. Timeout-Angaben die größer als 10 Sekunden sind werden auf den Standard-Wert (1/4 Sekunde) gesetzt.
Es wird empfohlen, DNSBL-Regeln am Ende der Regeldatei einzutragen und mit einem Score von 100 zu versehen. Weiters sollte nach dem ersten Treffer die Prüfung abgebrochen werden (Regeloption "A" bzw. "H"). Damit wird verhindert, dass unnötig viele DNSBL-Abfragen ausgeführt werden.
Optionen: Keine
Beispiel:
DNSBL 75 I "bl.spamcop.net 200" [DNSBL-Anfrage mit 200 ms Timeout] DNSBL 75 I "list.dsbl.org" [DNSBL-Anfrage mit 250 ms Timeout]
Prüft, ob ein Dateiname in den Anlagen eine doppelte Dateiendung hat.
Die Regel sollte aus einer leeren Zeichenfolge ("") bestehen.
Optionen: Keine
DoubleFileExt 60 I "" [Dateiname im Anhang hat doppelte Dateiendung]
Prüft, ob ein Header oder ein Nachrichtenteil fehlt oder keinen Inhalt hat. Als Regel wird der Name des Headers oder des Feldes erwartet.
Optionen:
- T "Trim"
- Leerzeichen und Sonderzeichen werden nicht als Inhalt anerkannt.
Beispiel:
FieldEmpty 50 IT "TextPart" [Kein Plain-Text-Part in der Nachricht]
Prüft, ob der Absender der Nachricht ("Reply-To:"-Header) im Adressbuch von The Bat! eingetragen ist. Durch die Angabe einer bestimmten Datei, können auch mehrere Adressbücher überprüft werden. Mehr dazu ist unter "Adresse aus einem The Bat! Adressbuch ausschließen" angeführt.
Als Regel kann ein Dateiname für das auszulesende Adressbuch angegeben werden.
Optionen: Keine
Beispiel:
FromAddrInAB 0 IW "" [Absender in TheBat.ABD] FromAddrInAB 0 IW "MyAddrBook.ABD" [Absender in MyAddrBook.ABD]
Prüft, ob der Absender der Nachricht ("Reply-To:"-Header) in der Datei "AutoWL.lst" eingetragen ist. Mehr dazu ist unter "Absender-Adressen automatisch ausschließen" angeführt.
Die Regel sollte aus einer leeren Zeichenfolge ("") bestehen.
Optionen: Keine
Beispiel:
FromAddrInAutoWL 0 IW "" [Absender in der Auto-Whitelist gefunden]
Prüft, ob ein Header existiert.
Als Regel wird der Name der Headerzeile, ohne Doppelpunkt, angegeben.
Optionen:
- C "Case sensitive"
- Groß- und Kleinschreibung beachten (sonst nicht)
Beispiel:
HdrExist 60 IC "FROM" ["FROM:"-Header in Großbuchstaben enthalten] HdrExist -10 I "SUBJECT" ["Subject:"-Header enthalten]
Prüft, ob der Nachrichtentext in English geschrieben ist. Dazu wird überprüft, ob im Text eine gewisse Anzahl von englischen Wörtern enthalten ist. Da die Wortliste relativ klein ist, kann es auch zu Falschmeldungen kommen.
Als Regel wird die Anzahl der zu suchenden englischen Wörter angegeben. Dieser Wert muss zwischen 1 und 32 liegen. Der Standardwert sind 3 Wörter.
Optionen: Keine
Beispiel:
IsEnglish 15 I "5" [Text ist vermutlich Englisch]
Prüft, ob der Nachrichtentext in Deutsch geschrieben ist. Dazu wird überprüft, ob im Text eine gewisse Anzahl von deutschen Wörtern enthalten ist. Da die Wortliste relativ klein ist, kann es auch zu Falschmeldungen kommen.
Als Regel wird die Anzahl der zu suchenden deutschen Wörter angegeben. Dieser Wert muss zwischen 1 und 32 liegen. Der Standardwert sind 3 Wörter.
Optionen: Keine
Beispiel:
IsGerman -20 I "" [Text ist vermutlich Deutsch]
Prüft, ob der aktuelle Score kleiner oder größer ist, als der angegebene Wert.
Die Regel muss als erstes Zeichen ein Größer- oder Kleinerzeichen enthalten. Direkt danach folgt der Score-Wert, der überprüft werden soll.
Optionen: Keine
Beispiel:
IsScore 0 IH ">100" [Score ist größer als 100]
Prüft, ob die Größe der E-Mail kleiner oder größer ist, als der angegebene Wert.
Die Regel muss als erstes Zeichen ein Größer- oder Kleinerzeichen enthalten. Direkt danach folgt die Größe, die überprüft werden soll (in Byte).
Optionen: Keine
Beispiel:
RawMsgSize 75 I ">15000" [MSGSIZE: Größer als 15.000 Byte]
Prüft, ob sich eine der IP-Adressen, die vom vorgegebenen Header "RcvFromIp" zurückgegeben werden, im angegebenen Adressbereich (IP-Range) befindet.
Die IP-Range muss aus zwei gültigen IP-Adressen bestehen, wobei die erste die Untergrenze und die zweite die Obergrenze angeben muss. Die beiden Adressen müssen mit einem Bindestrich von einander getrennt werden.
Optionen: Keine
Beispiel:
RcvFromIpInRange 90 I "211.50.0.0-211.50.255.255" [RCVFROMIPINRANGE: IP-Adressbereich der DACOM Corp. (Korea)]
Prüft, ob sich eine der IP-Adressen, die vom vorgegebenen Header "RcvIp" zurückgegeben werden, im angegebenen Adressbereich (IP-Range) befindet.
Die IP-Range muss aus zwei gültigen IP-Adressen bestehen, wobei die erste die Untergrenze und die zweite die Obergrenze angeben muss. Die beiden Adressen müssen mit einem Bindestrich von einander getrennt werden.
Optionen: Keine
Beispiel:
RcvIpInRange 90 I "211.50.0.0-211.50.255.255" [RCVIPINRANGE: IP-Adressbereich der DACOM Corp. (Korea)]
Prüft, ob der Absender der Nachricht ("Reply-To:"-Header) im Adressbuch von The Bat! eingetragen ist. Durch die Angabe einer bestimmten Datei, können auch mehrere Adressbücher überprüft werden. Mehr dazu ist unter "Adresse aus einem The Bat! Adressbuch ausschließen" angeführt.
Als Regel kann ein Dateiname für das auszulesende Adressbuch angegeben werden.
Optionen: Keine
Beispiel:
ReplyToAddrInAB 0 IW "" [Absender in TheBat.ABD] ReplyToAddrInAB 0 IW "MyAddrBook.ABD" [Absender in MyAddrBook.ABD]
Prüft, ob der Absender der Nachricht ("Reply-To:"-Header) in der Datei "AutoWL.lst" eingetragen ist. Mehr dazu ist unter "Absender-Adressen automatisch ausschließen" angeführt.
Die Regel sollte aus einer leeren Zeichenfolge ("") bestehen.
Optionen: Keine
Beispiel:
ReplyToAddrInAutoWL 0 IW "" [Absender in der Auto-Whitelist gefunden]
Prüft, ob der Absender der Nachricht ("From:"- und "Reply-To:"-Header) im Adressbuch von The Bat! eingetragen ist. Durch die Angabe einer bestimmten Datei, können auch mehrere Adressbücher überprüft werden. Mehr dazu ist unter "Adresse aus einem The Bat! Adressbuch ausschließen" angeführt.
Als Regel kann ein Dateiname für das auszulesende Adressbuch angegeben werden.
Optionen: Keine
Beispiel:
SenderInAB 0 IW "" [Absender in TheBat.ABD] SenderInAB 0 IW "MyAddrBook.ABD" [Absender in MyAddrBook.ABD]
Prüft, ob der Absender der Nachricht ("From:"- und "Reply-To:"-Header) in der Datei "AutoWL.lst" eingetragen ist. Mehr dazu ist unter "Absender-Adressen automatisch ausschließen" angeführt.
Die Regel sollte aus einer leeren Zeichenfolge ("") bestehen.
Optionen: Keine
Beispiel:
SenderInAutoWL 0 IW "" [Absender in der Auto-Whitelist gefunden]
Prüft, ob im dekodierten Betreff Sonderzeichen oder Zahlen zwischen Buchstaben enthalten sind. Die Zeichen "äöüÄÖÜß/\"-'´`" werden dabei nicht als Sonderzeichen behandelt.
Als Regel wird die Anzahl der Wörter erwartet, die Sonderzeichen enthalten müssen, damit diese Regel zutrifft. Der Standard ist ein Wort. Im Anschluss an die Wortanzahl können, mit einem Leerzeichen getrennt, weitere Sonderzeichen angegeben werden, die ignoriert werden sollen.
Optionen: Keine
Beispiel:
SubjCrippled 25 I "2 áÁíÍûÛ" [SUBJ_CRIPPLED: Zwei Wörter verstümmelt]
Prüft, ob im dekodierten Betreff mehrere Leerzeichen hintereinander enthalten sind. Dabei werden Leerzeichen am Beginn und am Ende ignoriert. Die betreffenden Leerzeichen müssen zwischen zwei Textteilen stehen.
Als Regel wird die Anzahl der Leerzeichen erwartet. Der Standard sind 3 Leerzeichen.
Optionen: Keine
Beispiel:
SubjMultiSpace 30 I "" [Drei oder mehr Leerzeichen im Betreff] SubjMultiSpace 60 I "5" [Fünf oder mehr Leerzeichen im Betreff]
Extrahiert nur die Buchstaben aus dem "Text" und dem "PlainPart" einer Nachricht. Haben beide Nachrichtenteile einen Wert und unterscheiden sie sich, wird die Regel erfüllt. Viele Spammer schreiben unterschiedliche Inhalte in den HTML- und den Plain-Text-Part der Nachricht.
Die Regel sollte aus einer leeren Zeichenfolge ("") bestehen.
Optionen: Keine
Beispiel:
TextPartsDiv 75 I "" [Textteile der Nachricht sind unterschiedlich]
Führt eine URLBL-Anfrage beim angegebenen URLBL-Server durch.
Als Regel wird der Name des URLBL-Servers, z.B. "multi.surbl.org" angegeben. Das Standard-Timeout beträgt 250 Millisekunden (1/4 Sekunde). Um das Timeout zu verändern kann nach dem Servernamen, mit einem Leerzeichen getrennt, das neue Timeout in Millisekunden festgelegt werden. Timeout-Angaben die größer als 10 Sekunden sind werden auf den Standard-Wert (1/4 Sekunde) gesetzt.
Es wird empfohlen, URLBL-Regeln am Ende der Regeldatei einzutragen und mit einem Score von 100 zu versehen. Weiters sollte nach dem ersten Treffer die Prüfung abgebrochen werden (Regeloption "A" bzw. "H"). Damit wird verhindert, dass unnötig viele URLBL-Abfragen ausgeführt werden. Weiters sollten URLBL-Regeln vor DNSBL-Regeln angeführt werden, da URLBL-Abfragen genauere Resultate liefern.
Optionen: Keine
Beispiel:
URLBL 100 IH "multi.surbl.org" [URLBL-Anfrage mit 250 ms Timeout] URLBL 100 IH "multi.uribl.com" 200" [URLBL-Anfrage mit 200 ms Timeout]